Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
diestele

Analise de log do Hijack

Recommended Posts

oLÁ a todos...

Alguém poderia me ajudar na analise desse log...

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\LEXBCES.EXE

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\LEXPPS.EXE

C:\ARQUIV~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\ARQUIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.exe

C:\WINNT\SOUNDMAN.EXE

C:\ARQUIV~1\SYMANT~1\SYMANT~1\vptray.exe

C:\WINNT\System32\LXSUPMON.EXE

C:\WINNT\loadqm.exe

C:\WINNT\System32\rundll32.exe

C:\Arquivos de programas\Arquivos comuns\Logitech\QCDriver2\LVCOMS.EXE

C:\WINNT\System32\cdplayer.exe

C:\WINNT\System32\internat.exe

C:\Central03\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=CENTRAL01:21;gopher=CENTRAL01:91;http=CENTRAL01:6588;htt

ps=CENTRAL01:6588;socks=CENTRAL01:1080

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {A29D4D00-EFED-480B-B8EF-94346F7E4F54} - C:\WINNT\System32\hnpp.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [vptray] C:\ARQUIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll,DllInstall

O4 - HKLM\..\Run: [LVCOMS] C:\Arquivos de programas\Arquivos comuns\Logitech\QCDriver2\LVCOMS.EXE

O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\System32\cdplayer.exe -tray

O4 - HKLM\..\Run: [ulead AutoDetector] C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/629w6Di3wdrt8nFAA-LE.chm::/on-line.exe

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pms.gov.br

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pms.gov.br

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pms.gov.br

Compartilhar este post


Link para o post
Compartilhar em outros sites

cola o log inteiro, inclusive .... por exemplo

Logfile of HijackThis v1.99.1

Scan saved at 21:47:33, on 13/3/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

o seu saiu cortado

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Obrigado pela atenção, segue o log completo, Sr.Ida

    Logfile of HijackThis v1.97.7

    Scan saved at 12:54:39, on 5/2/2006

    Platform: Windows 2000 (WinNT 5.00.2195)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:

    C:\WINNT\System32\smss.exe

    C:\WINNT\system32\winlogon.exe

    C:\WINNT\system32\services.exe

    C:\WINNT\system32\lsass.exe

    C:\WINNT\system32\svchost.exe

    C:\WINNT\system32\LEXBCES.EXE

    C:\WINNT\system32\spoolsv.exe

    C:\WINNT\system32\LEXPPS.EXE

    C:\ARQUIV~1\SYMANT~1\SYMANT~1\DefWatch.exe

    C:\WINNT\System32\svchost.exe

    C:\ARQUIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe

    C:\WINNT\system32\regsvc.exe

    C:\WINNT\system32\MSTask.exe

    C:\WINNT\system32\stisvc.exe

    C:\WINNT\System32\WBEM\WinMgmt.exe

    C:\WINNT\Explorer.exe

    C:\WINNT\SOUNDMAN.EXE

    C:\ARQUIV~1\SYMANT~1\SYMANT~1\vptray.exe

    C:\WINNT\System32\LXSUPMON.EXE

    C:\WINNT\loadqm.exe

    C:\WINNT\System32\rundll32.exe

    C:\Arquivos de programas\Arquivos comuns\Logitech\QCDriver2\LVCOMS.EXE

    C:\WINNT\System32\cdplayer.exe

    C:\WINNT\System32\internat.exe

    C:\Central03\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll/spage.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll/spage.html

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=CENTRAL01:21;gopher=CENTRAL01:91;http=CENTRAL01:6588;https=CENTRAL01:6588;socks=CENTRAL01:1080

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    O2 - BHO: (no name) - {A29D4D00-EFED-480B-B8EF-94346F7E4F54} - C:\WINNT\System32\hnpp.dll

    O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

    O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

    O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

    O4 - HKLM\..\Run: [vptray] C:\ARQUIV~1\SYMANT~1\SYMANT~1\vptray.exe

    O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN

    O4 - HKLM\..\Run: [LoadQM] loadqm.exe

    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll,DllInstall

    O4 - HKLM\..\Run: [LVCOMS] C:\Arquivos de programas\Arquivos comuns\Logitech\QCDriver2\LVCOMS.EXE

    O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\System32\cdplayer.exe -tray

    O4 - HKLM\..\Run: [ulead AutoDetector] C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

    O4 - HKCU\..\Run: [internat.exe] internat.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Related (HKLM)

    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/629w6Di3wdrt8nFAA-LE.chm::/on-line.exe

    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB

    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pms.gov.br

    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pms.gov.br

    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pms.gov.br

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Obrigado

    Agora que vi o cabeçalho ... vou pedir outro favor ... :D

    1) Platform: Windows 2000 (WinNT 5.00.2195) < - desatualizado

    Instalar SP 4 ou manda o colega de BL baixar e gravar num CD ->

    clica

    Caso voce queira, pode instalar mais tarde, depois que terminarmos.

    2) Logfile of HijackThis v1.97.7 < - versão antiga

    Baixe o HijackThis versão atual.

    Unzip e cole o log novamente por favor

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Olá amigo, conforme suas instruções, segue o log atualizado, eu já descobir que se trata de um HSA q tomou conta da minha pagina inicial e fica jogando janelas com prapagandas de removedores de spyware

    Logfile of HijackThis v1.99.1

    Scan saved at 07:39:35, on 8/2/2006

    Platform: Windows 2000 SP4 (WinNT 5.00.2195)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:

    C:\WINNT\System32\smss.exe

    C:\WINNT\system32\winlogon.exe

    C:\WINNT\system32\services.exe

    C:\WINNT\system32\lsass.exe

    C:\WINNT\system32\svchost.exe

    C:\WINNT\system32\LEXBCES.EXE

    C:\WINNT\system32\spoolsv.exe

    C:\WINNT\system32\LEXPPS.EXE

    C:\ARQUIV~1\SYMANT~1\SYMANT~1\DefWatch.exe

    C:\WINNT\System32\svchost.exe

    C:\ARQUIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe

    C:\WINNT\system32\regsvc.exe

    C:\WINNT\system32\MSTask.exe

    C:\WINNT\system32\stisvc.exe

    C:\WINNT\System32\WBEM\WinMgmt.exe

    C:\WINNT\system32\svchost.exe

    C:\WINNT\Explorer.EXE

    C:\ARQUIV~1\SYMANT~1\SYMANT~1\vptray.exe

    C:\WINNT\System32\LXSUPMON.EXE

    C:\WINNT\system32\rundll32.exe

    C:\Arquivos de programas\Arquivos comuns\Logitech\QCDriver2\LVCOMS.EXE

    C:\WINNT\System32\cdplayer.exe

    C:\WINNT\system32\internat.exe

    C:\Arquivos de programas\Microsoft Office\Office10\MSACCESS.EXE

    C:\Doc.log\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll/spage.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll/spage.html

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=CENTRAL01:21;gopher=CENTRAL01:91;http=CENTRAL01:6588;https=CENTRAL01:6588;socks=CENTRAL01:1080

    O2 - BHO: (no name) - {A29D4D00-EFED-480B-B8EF-94346F7E4F54} - C:\WINNT\System32\hnpp.dll

    O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

    O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

    O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

    O4 - HKLM\..\Run: [vptray] C:\ARQUIV~1\SYMANT~1\SYMANT~1\vptray.exe

    O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN

    O4 - HKLM\..\Run: [LoadQM] loadqm.exe

    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll,DllInstall

    O4 - HKLM\..\Run: [LVCOMS] C:\Arquivos de programas\Arquivos comuns\Logitech\QCDriver2\LVCOMS.EXE

    O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\System32\cdplayer.exe -tray

    O4 - HKLM\..\Run: [ulead AutoDetector] C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

    O4 - HKCU\..\Run: [internat.exe] internat.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/629w6Di3wdrt8nFAA-LE.chm::/on-line.exe

    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pms.gov.br

    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pms.gov.br

    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pms.gov.br

    O18 - Filter: text/html - {143F7C6E-8CC7-47B3-A908-A8304853AC7C} - C:\WINNT\System32\hnpp.dll

    O18 - Filter: text/plain - {143F7C6E-8CC7-47B3-A908-A8304853AC7C} - C:\WINNT\System32\hnpp.dll

    O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll

    O23 - Service: DefWatch - Symantec Corporation - C:\ARQUIV~1\SYMANT~1\SYMANT~1\DefWatch.exe

    O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE

    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\ARQUIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    diestele

    1ª Etapa

    1. Faça o download do SpHjfix.exe

    http://www.trojaner-info.de/cgi-bin/downlo...gi?file=sphjfix

    2. Faça o download do ferramenta Symantec

    http://securityresponse.symantec.com/avcenter/FxAgentB.exe

    3. Faça o download do about:Buster

    http://www.majorgeeks.com/download4289.html

    unzip para uma pasta -> C:\aboutbuster. Execute-o, apenas para:

    clica -> "Update".

    4. Faça o download do CWShredder:

    http://linhadefensiva.uol.com.br/dl/cwshredder

    5. Faça o download do CCleaner:

    http://www.filehippo.com/download_ccleaner.html

    Instale, não roda ainda.

    5. Faça o download do Ad Aware :

    http://linhadefensiva.uol.com.br/docs/ad-aware

    Procure atualizar, e siga as instruções do site. Não roda ainda.

    2ª Etapa

    Talvez você queira imprimir essas instruções ou salvá-las em um arquivo texto para fácil acesso.

    Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

    Habilite o Windows para mostrar todos os arquivos (até ocultos). -> veja

    1. Execute o HijackThis, do local certo, clique em Do a System Scan Only, marque

    somente as entradas abaixo e dê Fix Checked

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll/spage.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll/spage.html

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    O2 - BHO: (no name) - {A29D4D00-EFED-480B-B8EF-94346F7E4F54} - C:\WINNT\System32\hnpp.dll

    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\semsa\CONFIG~1\Temp\se.dll,DllInstall

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

    O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/629w6Di3wdrt8nFAA-LE.chm::/on-line.exe

    O18 - Filter: text/html - {143F7C6E-8CC7-47B3-A908-A8304853AC7C} - C:\WINNT\System32\hnpp.dll

    O18 - Filter: text/plain - {143F7C6E-8CC7-47B3-A908-A8304853AC7C} - C:\WINNT\System32\hnpp.dll

    2) Dê um duplo clique em -> SpHjfix.exe -> Desinfektion starten

    3) Rode a CWShredder e clique em Fix.

    4) Na seqüência Rode o About:Buster e clique em Begin Removal.

    Siga as instruções do programa. Quando ele terminar, clique em Exit.

    5) Execute o FxAgentB.exe

    6) Realize uma varredura Ad Aware

    7) Rode o CCleaner clica e

    Reinicie em modo normal.

    3ª Etapa

    Verifique se o problema foi resolvido e poste o novo log no modo normal.

    Execute o -> ActiveScan < -

    Anexe ao log o resultado do Panda.

    B. Sorte

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Olá Sr.Ida, tudo bem por aí

    Bem eu estava seguindo suas orientações ( levei a mão a cabeça e pensei estou ferrado, :ahh: ) :

    1ª Etapa

    1. Fiz o download do SpHjfix.exe

    2. Fiz o download do ferramenta Symantec

    3. Fiz o download do about:Buster

    unzip para uma pasta -> C:aboutbuster. Execute-o, apenas para:

    clica -> "Update".

    Aeww é que aconteceu algo inesperado, executei o aboutbuster para dar o update como você havia mandado mas a tela que abriu foi essa:

    Como podemos ver só tinha uma opção na qual cliquei, logo em seguida ele fez uma varredura e gerou o seguinte log:

    AboutBuster 6.0

    Scan started on [8/2/2006] at [21:10:39]

    -------------------------------------------------------------

    Internet Explorer Instances Terminated!

    HomeSearch Service stopped if present

    -------------------------------------------------------------

    Removed Stream! C:WINNTAreia.bmp:Q30lsldxJoudresxAaaqpcawXc

    Removed Stream! C:WINNTBolhas de sabão.bmp:Q30lsldxJoudresxAaaqpcawXc

    Removed Stream! C:WINNTBruma.bmp:Q30lsldxJoudresxAaaqpcawXc

    Removed Stream! C:WINNTCafezinho.bmp:Q30lsldxJoudresxAaaqpcawXc

    Removed Stream! C:WINNTDeserto.bmp:Q30lsldxJoudresxAaaqpcawXc

    Removed Stream! C:WINNTLeques.bmp:Q30lsldxJoudresxAaaqpcawXc

    Removed Stream! C:WINNTPescaria.bmp:Q30lsldxJoudresxAaaqpcawXc

    Removed Stream! C:WINNTRenda azul 16.bmp:Q30lsldxJoudresxAaaqpcawXc

    Removed Stream! C:WINNTRododentro.bmp:Q30lsldxJoudresxAaaqpcawXc

    Removed Stream! C:WINNTSeda.bmp:Q30lsldxJoudresxAaaqpcawXc

    Removed Stream! C:WINNTTapete.bmp:Q30lsldxJoudresxAaaqpcawXc

    -------------------------------------------------------------

    Removed File! : C:WINNTsystem32hnpp.dll

    Removed File! : Temp FolderSe.dll

    -------------------------------------------------------------

    Removed Temp Files

    Internet Explorer Settings Reset!

    -------------------------------------------------------------

    Scan was COMPLETED SUCCESSFULLY at 21:13:18

    Tive q reiniciar o sistema e para minha supressa o IE já estava limpo funcionando perfeitamente, acho que posso chamar isso de uma ##### sorte, rssssssss.....

    E agora que você acha, que me diz?

    Rodei também o Panda segue o log:

    Incident Status Location

    Spyware:spyware/smitfraud Not disinfected C:WINNTSYSTEM32oleadm.dll

    Adware:adware/psguard Not disinfected Windows Registry

    Adware:Adware/SearchExe Not disinfected C:Documents and SettingsAdministradorConfigurações locaisTempse.dll

    Virus:Exploit/Codebase.aí Not disinfected C:Documents and SettingsconsultaConfigurações locaisTemporary Internet FilesContent.IE539O9S6RAx[1].chm[x.htm]

    Virus:Trj/Hosts.I Not disinfected C:Documents and SettingsconsultaConfigurações locaisTemporary Internet FilesContent.IE539O9S6RAx[1].chm[load.exe]

    Virus:Exploit/ByteVerify Disinfected C:Documents and SettingsconsultaConfigurações locaisTemporary Internet FilesContent.IE5E6OYLCWMloaderadv508[1].jar

    Dialer:Dialer.BYW Not disinfected C:Documents and SettingsconsultaConfigurações locaisTemporary Internet FilesContent.IE5W5YZKXYZxxxpics[1].exe

    Virus:Exploit/ByteVerify Disinfected C:Documents and SettingsconsultaConfigurações locaisTemporary Internet FilesContent.IE5PSHFVRTclassload[1].jar[Dummy.class]

    Virus:Exploit/ByteVerify Disinfected C:Documents and SettingsconsultaConfigurações locaisTemporary Internet FilesContent.IE5PSHFVRTclassload[1].jar[GetAccess.class]

    Virus:Exploit/ByteVerify Disinfected C:Documents and SettingsconsultaConfigurações locaisTemporary Internet FilesContent.IE5PSHFVRTclassload[1].jar[insecureClassLoader.class]

    Virus:Exploit/ByteVerify Disinfected C:Documents and SettingsconsultaConfigurações locaisTemporary Internet FilesContent.IE5PSHFVRTclassload[1].jar[installer.class]

    Spyware:Cookie/adultfriendfinder Not disinfected C:Documents and SettingsconsultaCookiesconsulta@adultfriendfinder[1].txt

    Spyware:Cookie/adultfriendfinder Not disinfected C:Documents and SettingsconsultaCookiesconsulta@adultfriendfinder[2].txt

    Spyware:Cookie/Falkag Not disinfected C:Documents and SettingsconsultaCookiesconsulta@as1.falkag[2].txt

    Spyware:Cookie/Atlas DMT Not disinfected C:Documents and SettingsconsultaCookiesconsulta@atdmt[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingsconsultaCookiesconsulta@bannerlandia.com[2].txt

    Spyware:Cookie/Casalemedia Not disinfected C:Documents and SettingsconsultaCookiesconsulta@casalemedia[2].txt

    Spyware:Cookie/Ccbill Not disinfected C:Documents and SettingsconsultaCookiesconsulta@ccbill[2].txt

    Spyware:Cookie/Sextracker Not disinfected C:Documents and SettingsconsultaCookiesconsulta@counter14.sextracker[1].txt

    Spyware:Cookie/Sextracker Not disinfected C:Documents and SettingsconsultaCookiesconsulta@counter16.sextracker[1].txt

    Spyware:Cookie/Sextracker Not disinfected C:Documents and SettingsconsultaCookiesconsulta@counter2.sextracker[1].txt

    Spyware:Cookie/Sextracker Not disinfected C:Documents and SettingsconsultaCookiesconsulta@counter2.sextracker[2].txt

    Spyware:Cookie/Sextracker Not disinfected C:Documents and SettingsconsultaCookiesconsulta@counter3.sextracker[2].txt

    Spyware:Cookie/cs.sexcounter Not disinfected C:Documents and SettingsconsultaCookiesconsulta@cs.sexcounter[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingsconsultaCookiesconsulta@de.uol.com[1].txt

    Spyware:Cookie/DomainSponsor Not disinfected C:Documents and SettingsconsultaCookiesconsulta@domainsponsor[2].txt

    Spyware:Cookie/Doubleclick Not disinfected C:Documents and SettingsconsultaCookiesconsulta@doubleclick[1].txt

    Spyware:Cookie/Comclick Not disinfected C:Documents and SettingsconsultaCookiesconsulta@fl01.ct2.comclick[1].txt

    Spyware:Cookie/Gator Not disinfected C:Documents and SettingsconsultaCookiesconsulta@gator[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingsconsultaCookiesconsulta@google.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingsconsultaCookiesconsulta@ig.com[1].txt

    Spyware:Cookie/DomainSponsor Not disinfected C:Documents and SettingsconsultaCookiesconsulta@landing.domainsponsor[1].txt

    Spyware:Cookie/PayCounter Not disinfected C:Documents and SettingsconsultaCookiesconsulta@paycounter[1].txt

    Spyware:Cookie/RealMedia Not disinfected C:Documents and SettingsconsultaCookiesconsulta@realmedia[2].txt

    Spyware:Cookie/WUpd Not disinfected C:Documents and SettingsconsultaCookiesconsulta@revenue[2].txt

    Spyware:Cookie/SexList Not disinfected C:Documents and SettingsconsultaCookiesconsulta@sexlist[2].txt

    Spyware:Cookie/Sextracker Not disinfected C:Documents and SettingsconsultaCookiesconsulta@sextracker[2].txt

    Spyware:Cookie/SpyLog Not disinfected C:Documents and SettingsconsultaCookiesconsulta@spylog[1].txt

    Spyware:Cookie/Statcounter Not disinfected C:Documents and SettingsconsultaCookiesconsulta@statcounter[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingsconsultaCookiesconsulta@terra.com[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingsconsultaCookiesconsulta@uol.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingsconsultaCookiesconsulta@uol.com[3].txt

    Spyware:Cookie/WebPower Not disinfected C:Documents and SettingsconsultaCookiesconsulta@webpower[2].txt

    Spyware:Cookie/ademails Not disinfected C:Documents and SettingsconsultaCookiesconsulta@www.ademails[2].txt

    Spyware:Cookie/Xiti Not disinfected C:Documents and SettingsconsultaCookiesconsulta@xiti[2].txt

    Spyware:Cookie/XXXCounter Not disinfected C:Documents and SettingsconsultaCookiesconsulta@xxxcounter[1].txt

    Spyware:Cookie/XXXtoolbar Not disinfected C:Documents and SettingsconsultaCookiesconsulta@xxxtoolbar[1].txt

    Spyware:Cookie/Zedo Not disinfected C:Documents and SettingsconsultaCookiesconsulta@zedo[2].txt

    Adware:Adware/SearchExe Not disinfected C:Documents and Settingsconsulta.PMSConfigurações locaisTempse.dll

    Spyware:Cookie/adultfriendfinder Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@adultfriendfinder[1].txt

    Spyware:Cookie/adultfriendfinder Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@adultfriendfinder[2].txt

    Spyware:Cookie/Atlas DMT Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@atdmt[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@bannerlandia.com[2].txt

    Spyware:Cookie/Ccbill Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@ccbill[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@de.uol.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@de.uol.com[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@google.com[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@ig.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@terra.com[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@uol.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@uol.com[3].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@uol.com[4].txt

    Spyware:Cookie/WebPower Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@webpower[2].txt

    Spyware:Cookie/ademails Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@www.ademails[2].txt

    Spyware:Cookie/Xiti Not disinfected C:Documents and Settingsconsulta.PMSCookiesconsulta@xiti[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingsmalcherCookiesmalcher@de.uol.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingsmalcherCookiesmalcher@google.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingssinimbuCookiesdra_zilma@google.com[1].txt

    Spyware:Cookie/Gator Not disinfected C:Documents and SettingssinimbuCookiesdra_zilma@webpdp.gator[1].txt

    Spyware:Cookie/C.porngraph Not disinfected C:Documents and SettingssinimbuCookiessinimbu@c.porngraph[2].txt

    Spyware:Cookie/Sextracker Not disinfected C:Documents and SettingssinimbuCookiessinimbu@counter8.sextracker[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingssinimbuCookiessinimbu@de.uol.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingssinimbuCookiessinimbu@ig.com[1].txt

    Spyware:Cookie/SexList Not disinfected C:Documents and SettingssinimbuCookiessinimbu@sexlist[1].txt

    Spyware:Cookie/Sextracker Not disinfected C:Documents and SettingssinimbuCookiessinimbu@sextracker[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and SettingssinimbuCookiessinimbu@uol.com[2].txt

    Spyware:Cookie/Gator Not disinfected C:Documents and SettingssinimbuCookiessinimbu@webpdp.gator[1].txt

    Spyware:Cookie/Gator Not disinfected C:Documents and SettingssinimbuCookiessinimbu@webpdp.gator[3].txt

    Spyware:Cookie/2o7.net Not disinfected C:Documents and Settings hyerreCookies hyerre@2o7[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@acesso.uol.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@acesso.uol.com[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@com[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@de.uol.com[1].txt

    Spyware:Cookie/DomainSponsor Not disinfected C:Documents and Settings hyerreCookies hyerre@domainsponsor[2].txt

    Spyware:Cookie/Gator Not disinfected C:Documents and Settings hyerreCookies hyerre@gator[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@google.com[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@ig.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@ig.com[3].txt

    Spyware:Cookie/DomainSponsor Not disinfected C:Documents and Settings hyerreCookies hyerre@landing.domainsponsor[1].txt

    Spyware:Cookie/Mircx Not disinfected C:Documents and Settings hyerreCookies hyerre@pop.mircx[2].txt

    Spyware:Cookie/Match Not disinfected C:Documents and Settings hyerreCookies hyerre@promo.match[1].txt

    Spyware:Cookie/Match Not disinfected C:Documents and Settings hyerreCookies hyerre@promo.match[2].txt

    Spyware:Cookie/Match Not disinfected C:Documents and Settings hyerreCookies hyerre@promo.match[3].txt

    Spyware:Cookie/Match Not disinfected C:Documents and Settings hyerreCookies hyerre@promo.match[4].txt

    Spyware:Cookie/Match Not disinfected C:Documents and Settings hyerreCookies hyerre@promo.match[5].txt

    Spyware:Cookie/WUpd Not disinfected C:Documents and Settings hyerreCookies hyerre@revenue[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@terra.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@uol.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@uol.com[2].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@uol.com[3].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@uol.com[4].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@uol.com[5].txt

    Spyware:Cookie/Com.com Not disinfected C:Documents and Settings hyerreCookies hyerre@uol.com[6].txt

    Spyware:Cookie/ademails Not disinfected C:Documents and Settings hyerreCookies hyerre@www.ademails[1].txt

    Spyware:Cookie/Xiti Not disinfected C:Documents and Settings hyerreCookies hyerre@xiti[1].txt

    Spyware:Cookie/Yadro Not disinfected C:Documents and Settings hyerreCookies hyerre@yadro[1].txt

    Virus:Bck/mIRCBased.X Disinfected C:PROGRAM FILESWMV9_VCMScoop2004mirc.exe

    Possible Virus. Not disinfected C:WINNTsystem32oleadm.dll

    E agora...?

    post-62279-13884904967591_thumb.jpg

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    7. Faça o download do smitRem

    http://noahdfear.geekstogo.com/click%20cou.../click.php?id=1

    e salve o file em sua área de trabalho.

    Painel de Controle -> Java -> Apague os arquivos temporários

    Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção "Modo Seguro" ou "Modo de Segurança".

    Abra o smitRem folder, dê um duplo click no RunThis.bat file para starter na ferramenta. Vai abrir o prompt, e você vai aguardar com paciência até que a ferramenta cumpra a limpeza e rastreamento no disco. Localize e post o smitfiles.txt que geralmente fica em -> C:/ ou partição de onde voce executou a ferramenta.

    Se você não prosseguiu na 2ª etapa... faça-o agora.... (exceto o aboutbuster)

    Reinicie o computador

    Gerar um novo log hijackthis no modo normal depois que saiu do modo seguro, anexe o smitfiles.txt e cole na sua resposta

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×